Febrero de 2019. En las entrañas de la entidad financiera británica Metro Bank se descubre un grave problema: alguien está accediendo a información muy sensible de sus clientes. Concretamente, la intrusión se produce cuando un cliente quiere hacer una operación concreta y, además de loguearse en la web o app del banco, recibe un código en su teléfono para proceder a realizar la operación.
Según logra detectar Metro Bank, en ese paso se está produciendo una brecha de datos y el código en cuestión puede quedar a merced del cibercrimen, con el consecuente peligro para la ciberseguridad de los clientes. La entidad financiera reconoce y asume la vulnerabilidad, pero dice que no se trata de algo aislado: de hecho, la suya no es la primera gran organización bancaria que la sufre; si acaso, es la primera en reconocerlo.
Efectivamente, no es la primera vez que ocurre algo así. En mayo del año pasado, el senador estadounidense Ron Wyden aseguró que una gran operadora de comunicaciones sufrió un ciberataque muy similar, dejando datos sensibles de sus clientes y usuarios a merced de ciberdelincuentes que ni siquiera necesitaban una gran experiencia en este campo para hacerse con dicha información. Esta vulnerabilidad, por tanto, es frecuente y no es tan compleja de explotar.
El problema del SS7
¿Dónde reside el problema? En el Signaling System 7 (SS7), el protocolo que permite a los usuarios ir cambiando de red y de operador cuando viajamos por el mundo y nos vamos conectando desde nuestro móvil. El protocolo fue creado en 1975 y apenas ha experimentado actualizaciones, con lo que, a día de hoy, parece carecer de la seguridad suficiente para todos aquellos que recurren a él.
La vulnerabilidad se magnifica, sobre todo, en las situaciones en que los operadores y usuarios recurren al SS7 en los procesos de autenticación de doble factor a través del móvil, un modo de identificación que, aunque pasa por ser uno de los que más garantías de ciberseguridad ofrece, no es ni mucho menos infalible. En este caso, la vulnerabilidad se hace más evidente cuando el usuario recibe un SMS con un código para ejecutar una operación concreta. Y ese SMS, según reconocen el Centro Nacional de Seguridad Cibernética (NCSC) de Reino Unido y las propias operadoras, está quedando a merced de ciberdelincuentes.
Las consecuencias de la vulnerabilidad
El fallo del protocolo SS7 no es un asunto menor, ya que puede traer consecuencias fatales para los operadores, las grandes organizaciones y los propios usuarios:
1.- Robo de información. Ya lo pudieron comprobar los clientes de Metro Bank: acceder al SMS con el código de una operación puede servir a los ciberdelincuentes para robarles información o, en el caso de operaciones financieras, incluso hacerse con su dinero, con las evidentes consecuencias económicas.
2.- Espionaje. La explotación de esta vulnerabilidad no tiene por qué suponer un robo concreto de datos e información, pero sí puede dar inicio a una intensa tarea de ciberespionaje, con lo que el usuario en cuestión, al que aparentemente no se le está robando nada, puede seguir operando sin ser consciente de que alguien, al otro lado, está siguiendo todos sus movimientos.
3.- Explotación escalada. Hasta hace poco este tipo de cibercrimen parecía reservado a grandes agencias de ciberinteligencia, pero, tal y como ha reconocido el NCSC, la vulnerabilidad es tal que ha quedado a merced de ciberdelincuentes de un perfil mucho más bajo, que apenas necesitan contar con ciertos recursos económicos para explotarla. Además, el hecho de que el protocolo haya sido creado hace más de 40 años hace que el surgimiento de nuevas vulnerabilidades pueda ser mucho más escalable.
4.- Reputación y multas. Ninguna compañía quiere ser conocida por el hecho de que sus clientes vean su información en peligro. Este daño reputacional también afecta a las teleoperadoras, que con el SS7 no se sienten capacitadas para garantizar la ciberseguridad total en las comunicaciones. Además, la pérdida de datos puede ocasionar a todos una cuantiosa multa económica.
¿Cómo evitar los riesgos de SS7?
Las compañías preocupadas por su ciberseguridad empresarial no pueden evitar que existan vulnerabilidades en el protocolo SS7, pero sí pueden controlar sus consecuencias y evitar que lleguen a sus clientes:
1.- Sofisticación de contraseñas. Teniendo en cuenta que la autenticación de doble factor no garantiza la ciberseguridad total, las compañías pueden optar por otras formas de autentificación que no tengan por qué depender de SMS o que, al menos, introduzcan contraseñas más dinámicas y cambiantes.
2.- Monitorización. En caso de que se produzcan intrusiones, es vital que las compañías puedan comprobar en todo momento la actividad que se produce en sus servidores y dispositivos corporativos. Panda Adaptive Defense monitoriza todos los procesos del sistema de manera automática y actúa ante posibles peligros incluso antes de que se produzcan.
3.- Actualización. La lucha contra las vulnerabilidades de ciberseguridad es eterna, ya que los ciberdelincuentes siempre encontrarán nuevas formas de provocar brechas de seguridad que les permitan obtener datos de usuarios y clientes. En este sentido, Patch Management, como módulo de la plataforma complementario a Adaptive Defense, analiza la seguridad de los endpoints en tiempo real para ejecutar las actualizaciones necesarias para protegerse de las vulnerabilidades.
No se trata, por tanto, de poner fin a un problema interno, ya que las vulnerabilidades del protocolo SS7 son ajenas a las compañías. Se trata, en definitiva, de instalar los procedimientos adecuados para que, en caso de que la vulnerabilidad sea explotada, no llegue a afectar a los usuarios ni a las propias organizaciones. Para lograrlo, las soluciones de Panda Security previenen incidentes reduciendo la superficie de ataque por vulnerabilidades manteniendo a las empresas seguras ante los riesgos de SS7 y otras vulnerabilidades similares.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
